Koroonaviiruse teema on täna täitnud kõik uudistevood ning sellest on saanud ka COVID-19 teemat ja kõike sellega seonduvat ekspluateerivate ründajate erinevate tegevuste peamiseks juhtmotiiviks. Selles märkuses juhin tähelepanu mõnele sellisele pahatahtliku tegevuse näitele, mis pole muidugi paljudele infoturbespetsialistidele saladus, kuid mille kokkuvõte ühes märkuses teeb teie enda teadlikkuse ettevalmistamise lihtsamaks. -tõstetavad üritused töötajatele, kellest osa töötab kaugtööl ja teised on varasemast vastuvõtlikumad erinevatele infoturbeohtudele.
Minut hoolitsust UFO-lt
Maailm on ametlikult välja kuulutanud COVID-19 pandeemia – SARS-CoV-2 koroonaviiruse (2019-nCoV) põhjustatud potentsiaalselt raske ägeda hingamisteede infektsiooni. Habré kohta on sellel teemal palju infot – pea alati meeles, et see võib olla nii usaldusväärne/kasulik kui ka vastupidi.
Soovitame teil olla kriitiline igasuguse avaldatava teabe suhtes.
Ametlikud allikad
- Piirkondades asuvate operatiivpeakorterite veebisaidid ja ametlikud rühmad
Kui te ei ela Venemaal, vaadake oma riigi sarnaseid saite.
Peske käsi, hoolitsege oma lähedaste eest, jääge võimalusel koju ja töötage eemalt.Lugege väljaandeid teemal: |
Tuleb märkida, et täna pole koroonaviirusega seotud täiesti uusi ohte. Pigem räägime juba traditsiooniliseks muutunud rünnakuvektoritest, mida kasutatakse lihtsalt uues "kastmes". Niisiis nimetaksin ma peamisi ähvardusi:
- andmepüügisaidid ja uudiskirjad, mis on seotud koroonaviiruse ja sellega seotud pahatahtliku koodiga
- Pettus ja desinformatsioon, mille eesmärk on kasutada ära hirmu või mittetäielikku teavet COVID-19 kohta
- rünnakud koroonaviiruse uurimisega seotud organisatsioonide vastu
Venemaal, kus kodanikud traditsiooniliselt võimuesindajaid ei usalda ja usuvad, et varjavad nende eest tõde, on andmepüügisaitide ja meililistide ning petturlike ressursside eduka „reklaamimise” tõenäosus palju suurem kui avatumates riikides. ametiasutused. Kuigi tänapäeval ei saa keegi end absoluutselt kaitstuks pidada loovate küberpetturite eest, kes kasutavad kõiki inimese klassikalisi inimlikke nõrkusi – hirmu, kaastunnet, ahnust jne.
Võtame näiteks meditsiinilisi maske müüva pettuse saidi.
USA ametivõimud sulgesid sarnase saidi CoronavirusMedicalkit[.]com, kuna see levitas tasuta olematut COVID-19 vaktsiini koos ravimi kohaletoimetamise "ainult" postikuluga. Antud juhul tehti nii madala hinna juures arvutus USA paanikatingimustes kiire nõudluse järgi ravimi järele.
Tegemist ei ole klassikalise küberohuga, kuna ründajate ülesanne ei ole sel juhul kasutajaid nakatada ega nende isikuandmeid või identifitseerimisinfot varastada, vaid lihtsalt hirmulainel sundida neid loobuma ja ostma kõrge hinnaga meditsiinimaske. 5-10-30 korda tegelikku maksumust ületades. Kuid ideed luua võltsveebisait, mis kasutab ära koroonaviiruse teema, kasutavad ka küberkurjategijad. Näiteks siin on sait, mille nimi sisaldab märksõna „covid19”, kuid mis on ühtlasi andmepüügisait.
Üldiselt jälgime iga päev meie juhtumite uurimise teenust , näete, kui palju on loomisel domeene, mille nimed sisaldavad sõnu covid, covid19, koroonaviirus jne. Ja paljud neist on pahatahtlikud.
Keskkonnas, kus osa ettevõtte töötajaid viiakse kodust tööle ja neid ei kaitse ettevõtte turvameetmed, on olulisem kui kunagi varem jälgida ressursse, millele pääseb ligi töötajate mobiil- ja lauaarvutitest teadlikult või ilma nendeta. teadmisi. Kui te teenust ei kasuta selliste domeenide tuvastamiseks ja blokeerimiseks (ja Cisco ühendus selle teenusega on nüüd tasuta), seejärel konfigureerige oma veebijuurdepääsu jälgimislahendused vähemalt asjakohaste märksõnadega domeenide jälgimiseks. Samal ajal pidage meeles, et traditsiooniline lähenemine domeenide musta nimekirja lisamisele ja ka maineandmebaaside kasutamine võib ebaõnnestuda, kuna pahatahtlikud domeenid luuakse väga kiiresti ja neid kasutatakse vaid 1-2 ründes mitte kauem kui paar tundi – siis ründajad lülituvad uutele lühiajalistele domeenidele. Infoturbe ettevõtetel lihtsalt ei ole aega oma teadmistebaase kiiresti uuendada ja kõigile klientidele levitada.
Ründajad kasutavad jätkuvalt aktiivselt meilikanalit, et levitada manustes andmepüügilinke ja pahavara. Ja nende tõhusus on üsna kõrge, kuna kasutajad, saades koronaviiruse kohta täiesti legaalseid uudiseid, ei suuda alati nende mahus midagi pahatahtlikku ära tunda. Ja kuigi nakatunute arv ainult kasvab, kasvab ka selliste ohtude hulk ainult.
Näiteks CDC nimel saadetud andmepüügimeili näide näeb välja selline:
Lingi järgimine ei vii loomulikult CDC veebisaidile, vaid võltslehele, mis varastab ohvri sisselogimise ja parooli:
Siin on näide väidetavalt Maailma Terviseorganisatsiooni nimel olevast andmepüügimeilist:
Ja selles näites loodavad ründajad tõsiasjale, et paljud inimesed usuvad, et ametivõimud varjavad nende eest nakkuse tegelikku ulatust ning seetõttu klõpsavad kasutajad rõõmsalt ja peaaegu kõhklemata seda tüüpi kirjadel, mis sisaldavad pahatahtlikke linke või manuseid. väidetavalt paljastab kõik saladused.
Muide, selline sait on olemas , mis võimaldab jälgida erinevaid näitajaid, näiteks suremust, suitsetajate arvu, rahvaarvu erinevates riikides jne. Veebilehel on ka koroonaviirusele pühendatud leht. Ja nii, kui ma 16. märtsil sinna läksin, nägin lehte, mis hetkeks pani mind kahtlema, et võimud räägivad meile tõtt (ma ei tea, mis nende numbrite põhjus on, võib-olla lihtsalt viga):
Üks populaarsemaid infrastruktuure, mida ründajad sarnaste meilide saatmiseks kasutavad, on Emotet, üks viimase aja ohtlikumaid ja populaarsemaid ohte. Meilisõnumitele lisatud Wordi dokumendid sisaldavad Emoteti allalaadijaid, mis laadivad ohvri arvutisse uusi pahatahtlikke mooduleid. Emoteti kasutati algselt Jaapani elanikele suunatud meditsiinimaske müüvate petturlike saitide linkide reklaamimiseks. Allpool näete pahatahtliku faili liivakasti abil analüüsimise tulemust , mis analüüsib faile pahatahtlikkuse suhtes.
Kuid ründajad ei kasuta mitte ainult MS Wordi käivitamise võimalust, vaid ka teistes Microsofti rakendustes, näiteks MS Excelis (nii tegutses häkkerite rühmitus APT36), saates India valitsuselt Crimsoni sisaldavaid soovitusi koronaviiruse vastu võitlemiseks. ROT:
Teine pahatahtlik kampaania, mis kasutab ära koroonaviiruse teemat, on Nanocore RAT, mis võimaldab installida ohvrite arvutitesse programme kaugjuurdepääsuks, klaviatuurilöökide pealtkuulamiseks, ekraanipiltide jäädvustamiseks, failidele juurdepääsuks jne.
Ja Nanocore RAT saadetakse tavaliselt e-postiga. Näiteks näete allpool näidiskirja koos lisatud ZIP-arhiiviga, mis sisaldab käivitatavat PIF-faili. Klõpsates käivitatavale failile, installib ohver oma arvutisse kaugjuurdepääsu programmi (Remote Access Tool, RAT).
Siin on veel üks näide COVID-19 teemalise parasiidikampaania kohta. Kasutaja saab kirja koronaviirusest tingitud oletatava tarneviivituse kohta, millele on lisatud arve laiendiga .pdf.ace. Tihendatud arhiivis on käivitatav sisu, mis loob ühenduse käsu- ja juhtimisserveriga, et saada täiendavaid käske ja täita muid ründaja eesmärke.
Sarnaste funktsioonidega on Parallax RAT, mis levitab faili nimega "uus nakatunud CORONAVIRUS taevas 03.02.2020/XNUMX/XNUMX.pif" ja mis installib pahatahtliku programmi, mis suhtleb selle käsuserveriga DNS-protokolli kaudu. EDR-klassi kaitsevahendid, mille näiteks on , ja kas NGFW aitab jälgida sidet käsuserveritega (näiteks ) või DNS-i jälgimise tööriistu (näiteks ).
Allolevas näites installiti kaugjuurdepääsu pahavara ohvri arvutisse, kes teadmata põhjusel ostis reklaami, et tavaline arvutisse installitud viirusetõrje võib kaitsta tõelise COVID-19 eest. Ja lõppude lõpuks sattus keegi sellise pealtnäha nalja peale.
Kuid pahavara hulgas on ka päris kummalisi asju. Näiteks naljafailid, mis emuleerivad lunavara tööd. Ühel juhul meie Cisco Talose osakond fail nimega CoronaVirus.exe, mis blokeeris täitmise ajal ekraani ja käivitas taimeri ja teate "Kõigi failide ja kaustade kustutamine selles arvutis – koroonaviirus".
Pöördloenduse lõppedes muutus allosas olev nupp aktiivseks ja selle vajutamisel kuvati järgmine teade, et see kõik oli nali ja programmi lõpetamiseks tuleb vajutada Alt+F12.
Võitlust pahatahtlike kirjade vastu saab automatiseerida, näiteks kasutades , mis võimaldab tuvastada manustes mitte ainult pahatahtlikku sisu, vaid jälgida ka andmepüügilinke ja nendel tehtud klikke. Kuid isegi sel juhul ei tohiks unustada kasutajate koolitamist ning regulaarset andmepüügisimulatsioonide ja küberharjutuste läbiviimist, mis valmistavad kasutajad ette mitmesugusteks teie kasutajate vastu suunatud ründajate nippideks. Eriti kui nad töötavad eemalt ja isikliku e-posti kaudu, võib pahatahtlik kood tungida ettevõtte või osakonna võrku. Siin võiksin soovitada uut lahendust , mis võimaldab mitte ainult läbi viia personali mikro- ja nanokoolitust infoturbe teemadel, vaid korraldada neile ka andmepüügisimulatsioone.
Aga kui te ei ole mingil põhjusel valmis selliseid lahendusi kasutama, siis tasub vähemalt korraldada oma töötajatele regulaarsed kirjad andmepüügiohu meeldetuletuse, selle näidete ja ohutu käitumise reeglite loeteluga (peamine, et ründajad ei maskeeri end nendeks ). Muide, praegu on üheks võimalikuks riskiks teie juhtkonna kirjadeks maskeeritud andmepüügikirjad, mis väidetavalt räägivad uutest kaugtöö reeglitest ja protseduuridest, kohustuslikust tarkvarast, mis tuleb kaugarvutitesse installida jne. Ja ärge unustage, et lisaks meilidele saavad küberkurjategijad kasutada kiirsõnumite saatjaid ja sotsiaalvõrgustikke.
Sellisesse posti- või teadlikkuse tõstmise programmi saate lisada ka juba klassikalise näite võltsitud koroonaviiruse nakkuskaardist, mis sarnanes Johns Hopkinsi ülikool. Erinevus seisnes selles, et andmepüügisaidile sisenedes installiti kasutaja arvutisse pahavara, mis varastas kasutajakonto teabe ja saatis selle küberkurjategijatele. Sellise programmi üks versioon lõi ka RDP-ühendused ohvri arvutile kaugjuurdepääsuks.
Muide, RDP kohta. See on veel üks ründevektor, mida ründajad hakkavad koroonaviiruse pandeemia ajal aktiivsemalt kasutama. Paljud ettevõtted kasutavad kaugtööle üleminekul selliseid teenuseid nagu RDP, mis kiirustamise tõttu valesti seadistades võivad viia ründajate tungimiseni nii kaugkasutajate arvutitesse kui ka ettevõtte infrastruktuuri sisse. Veelgi enam, isegi õige konfiguratsiooni korral võivad erinevatel RDP-rakendustel olla turvaauke, mida ründajad saavad ära kasutada. Näiteks Cisco Talos FreeRDP mitu turvaauku ning eelmise aasta mais avastati Microsoft Remote Desktopi teenuses kriitiline haavatavus CVE-2019-0708, mis võimaldas ohvri arvutis suvalist koodi käivitada, pahavara sisse viia jne. Tema kohta levitati isegi uudiskirja ja näiteks Cisco Talos soovitusi selle eest kaitsmiseks.
Koronaviiruse teema ärakasutamise kohta on veel üks näide - ohvri perekonna reaalne oht nakatuda, kui nad keelduvad lunaraha bitcoinides maksmast. Efekti suurendamiseks, kirjale tähtsuse andmiseks ja väljapressija kõikvõimsuse tunde loomiseks sisestati kirja teksti ohvri parool ühelt tema kontolt, mis on saadud avalikest sisselogimiste ja paroolide andmebaasidest.
Ühes ülaltoodud näidetest näitasin andmepüügisõnumit Maailma Terviseorganisatsioonilt. Ja siin on veel üks näide, kus kasutajatelt palutakse rahalist abi COVID-19-ga võitlemiseks (kuigi kirja põhiosas on päises koheselt märgatav sõna "DOONATUS"). Ja küsitakse abi bitcoinides, et kaitsta end nende vastu. krüptovaluuta jälgimine.
Ja tänapäeval on palju selliseid näiteid, mis kasutavad ära kasutajate kaastunnet:
Bitcoinid on COVID-19-ga seotud muul viisil. Näiteks näevad sellised välja kirjad, mida saavad paljud Briti kodanikud, kes istuvad kodus ega saa raha teenida (Venemaal muutub see nüüd ka aktuaalseks).
Tuntud ajalehtedeks ja uudistesaitidena maskeerunud kirjad pakuvad lihtsat raha, kaevandades krüptovaluutasid spetsiaalsetel saitidel. Tegelikult saate mõne aja pärast teate, et teenitud summa saab erikontole välja võtta, kuid enne seda peate kandma väikese summa maksud. Selge on see, et pärast selle raha saamist ei kanna petturid midagi vastu ning kergeusklik kasutaja jääb ülekantud rahast ilma.
Maailma Terviseorganisatsiooniga on seotud veel üks oht. Häkkerid häkkisid D-Linki ja Linksysi ruuterite DNS-sätteid, mida sageli kasutavad kodukasutajad ja väikeettevõtted, et suunata need ümber võltsitud veebisaidile koos hüpikakna hoiatusega WHO rakenduse installimise vajaduse kohta, mis hoiab neid alles. kursis viimaste uudistega koroonaviiruse kohta. Pealegi sisaldas rakendus ise pahatahtlikku programmi Oski, mis varastab teavet.
Sarnast ideed COVID-19 nakkuse hetkeseisu sisaldava rakendusega kasutab ära Androidi troojalane CovidLock, mida levitatakse rakenduse kaudu, mis on väidetavalt USA haridusministeeriumi, WHO ja epideemiatõrje keskuse poolt "sertifitseeritud" ( CDC).
Paljud kasutajad on tänapäeval isolatsioonis ja ei taha või ei suuda süüa teha, kasutavad aktiivselt toidu, toidukaupade või muude kaupade, näiteks tualettpaberi kohaletoimetamise teenuseid. Ründajad on selle vektori ka oma eesmärkidel selgeks õppinud. Näiteks näeb selline välja pahatahtlik veebisait, mis sarnaneb Kanada Postile kuuluva legitiimse ressursiga. Kannatanu saadud SMS-i link viib veebilehele, mis teatab, et tellitud toodet ei saa kohale toimetada, kuna puudu on vaid 3 dollarit, mille eest tuleb juurde maksta. Sel juhul suunatakse kasutaja lehele, kus ta peab märkima oma krediitkaardi andmed... koos kõigi sellest tulenevate tagajärgedega.
Kokkuvõtteks tahaksin tuua veel kaks näidet COVID-19-ga seotud küberohtudest. Näiteks pistikprogrammid „COVID-19 Coronavirus – Live Map WordPress Plugin“, „Coronavirus Spread Prediction Graphs“ või „Covid-19“ on saitidele sisse ehitatud populaarset WordPressi mootorit kasutades ja koos leviku kaardi kuvamisega. koroonaviirus, sisaldavad ka WP-VCD pahavara. Ja ettevõte Zoom, mis sai veebisündmuste arvu kasvu tõttu väga-väga populaarseks, seisis silmitsi asjatundjate nimega "zoompommitamine". Ründajad, aga tegelikult tavalised pornotrollid, ühendusid veebivestluste ja veebikohtumistega ning näitasid erinevaid nilbeid videoid. Muide, sarnase ohuga seisavad täna silmitsi Venemaa ettevõtted.
Arvan, et enamik meist kontrollib regulaarselt erinevaid allikaid, nii ametlikke kui ka mitte nii ametlikke, pandeemia hetkeseisu kohta. Ründajad kasutavad seda teemat ära, pakkudes meile koroonaviiruse kohta "viimast" teavet, sealhulgas teavet, "mida võimud teie eest varjavad". Kuid isegi tavalised kasutajad on viimasel ajal ründajaid sageli aidanud, saates "tuttavatelt" ja "sõpradelt" kontrollitud faktide koode. Psühholoogid ütlevad, et selline "ärevate" kasutajate tegevus, kes saadavad välja kõike, mis nende vaatevälja satub (eriti sotsiaalvõrgustikes ja kiirsõnumitoojates, millel pole kaitsemehhanisme selliste ohtude vastu), võimaldab neil tunda end kaasatuna võitluses. globaalne oht ja tunnete end isegi kangelastena, kes päästavad maailma koroonaviiruse eest. Kuid kahjuks viib eriteadmiste puudumine selleni, et need head kavatsused "viivad kõik põrgusse", tekitades uusi küberjulgeolekuohte ja suurendades ohvrite arvu.
Tegelikult võiksin jätkata näidetega koroonaviirusega seotud küberohtudest; Pealegi ei seisa küberkurjategijad paigal ja mõtlevad välja üha uusi viise, kuidas inimlikke kirge ära kasutada. Aga ma arvan, et võime sellega peatuda. Pilt on juba selge ja see ütleb meile, et lähitulevikus läheb olukord ainult hullemaks. Moskva võimud paigutasid eile kümne miljoni elanikuga linna isolatsiooni. Sama tegid Moskva oblasti ja paljude teiste Venemaa piirkondade võimud, aga ka meie lähinaabrid endises postsovetlikus ruumis. See tähendab, et küberkurjategijate sihikule langevate potentsiaalsete ohvrite arv kasvab kordades. Seetõttu ei tasu üle vaadata ainult oma turvastrateegia, mis veel hiljuti oli keskendunud ainult ettevõtte või osakonna võrgu kaitsmisele ning hinnata, millistest kaitsevahenditest sul puudu jääb, vaid võtta arvesse ka oma personaliteadlikkuse programmis toodud näiteid, mis on muutumas kaugtöötajate infoturbesüsteemi oluliseks osaks. A valmis teid selles aitama!
PS. Selle materjali ettevalmistamisel kasutati materjale firmadelt Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security ja RiskIQ, USA justiitsministeerium, Bleeping Computer ressursse, SecurityAffairs jne. P.
Allikas: www.habr.com